Google社のSigned HTTP Exchange (SXG)により、AMPページのURLをTLS経由でオリジナルのURLとして表示することが可能に

デジサートが最初の、そして唯一のSigned HTTP Exchange(SXG)に対応したTLS証明書を発行する一般の認証局となる

Google AMP (Accelerated Mobile Pages)を使ってモバイルページの高速化を図ってきた事業者は、今後そのAMPで開発してきたモバイルサイトを元のURLで表示させることができるようになりました。これは、Googleの検索結果にも反映されます。最近Google社では、ChromeブラウザでのSigned HTTP Exchange (SXG)のサポートを発表しています。これにより、SXG対応のTLS/SSL証明書を使って、AMPページの元のドメイン名などを正しく表示できるようになりました。デジサートは、このSXG対応のTLS証明書を発行している唯一の一般認証局です。

SXGとは、キャッシュされたAMPページのオリジナルのURLを、ブラウザ内で表示することを可能にするフレームワークです。現在、SXGはChrome 73とそれ以降のバージョンで利用可能になっています(また、Microsoft Edgeのアップデートでも今後利用可能になる予定です)。

デジサートのSXG証明書は、CertCentral®というデジサートのSSL/TLSプラットフォームより提供されます。SXG証明書は、一般的なHTTPSと同じ環境内でその信頼性が確認できるよう設計されており、また従来のSSL/TLS証明書と並行して使用することもできます。

詳細をご希望の方は、こちらからお問い合わせください。あるいは、既存のアカウントにSXGを追加するには、営業担当にお問い合わせください。

SXG対応の証明書の発行に関する詳細は、このページを参照してください

待望の機能
モバイルでGoogle検索を行うと、AMPページには検索結果のURLに小さな雷マークがつきます。ただAMPには、GoogleのURL (https://google.com/amp/example.com/amp-content-exampleなど) ではなく、ウェブサイト所有者の元々のURLを表示させることができないという問題があり、これはAMPが2015年に発表されたときから開発者の悩みの種でした。この問題は、SXG対応のSSL/TLS証明書を使うことで解決できます。これが解決されると、ブランド力とオンライン上の収益に依存し、かつ大量のモバイルトラフィックがあるような企業にとっては、大きなメリットがあります。

なぜAMPが必要なのか?
なぜAMPが普及したかというと、AMP対応の特別な簡易版のウェブサイトを作成しておくと、検索サイトはそれを検索サイト側でキャッシュし、モバイルユーザの検索結果にその場ですぐに表示してくれるからです。すると、モバイルユーザは素早く検索結果を見ることができ、またページも圧倒的な速度でロードされるようになります。ミリ秒単位と言っても、たいしたことはないように思えますが、ユーザ体験には大きな違いがでてきます。ミリ秒単位で、ユーザがその場に残ってくれるか、待ちきれずにより高速な他のサイトに移動してしまうかなどが決まるのです。2017年のAkamaiによる調査(英文)では、ロードタイムが100ミリ秒遅延すると、そのたびにコンバージョン率が7%下がるという結果が出ています。つまり、収益や機会損失に直接影響するのです。

AMPはもともとGoogle社によって、モバイルユーザ向けの簡素化されたウェブサイトを求めるコンテンツパブリッシャーのニーズを満たすためのオープンソースのプロジェクトとして開発されました。2016年には、AMPページはGoogleの検索結果と統合されるようになります。これにより、さらにモバイルウェブのパフォーマンスとモバイルによるウェブブラウジングが推進されるようになりました。

当初、ほとんどの大手サイトはウェブ用に最適化されていなかったため、Googleではすべてを事前にレンダリングしておき、それをgoogle.com/ampに格納するという方式をとらざるを得ませんでした。そうすることで、あらゆるモバイルページを素早く提供することができるようになったのです。一方、このAMPのURL方式では、もともとの企業ドメインなどのURLが検索結果から消えてしまうというマイナス面がありました。

開発上だけではない、セキュリティ上のメリットも
SXGを導入することにより、モバイルのウェブセキュリティも強化されます。以前は、AMPではコンテンツはGoogleのサーバから配信されているため、それを閲覧しているエンドユーザは、それは元のサイトの内容と完全に同一なのか、暗号学的証拠を得ることはできませんでした。実際、オリジンは出版元ではなく、途中からAMP側に移動しているわけです。

現在の技術を使ってこのAMPの問題を解決しようとすると、他の分野でも同様のことが見られますが、コンテンツのパブリッシャー側がドメイン所有者の代わりにTLS証明書を提供する、という形になったことでしょう。これはこれで問題があります。なぜなら、それでは秘密鍵の無秩序化がさらに進んでしまいます(Delegated Credentialsなど、そういったリスクを軽減させるためのさらなる技術的解決策なども研究中ではありますが)。

ところがGoogleでは、コンテンツ配信の不変性というこの問題を、そういった現在のリソースを活用して解決するのではなく、新しい方法で解決する方向に投資を行うことにしたのです。そしてその結果がSigned HTTP Exchanges、つまりSXGでした。ウェブパッケージ化の基準を活用することで、情報をまとめ、それに署名する方法を確立しました。つまり、リクエストURL、コンテンツネゴシエーション情報、そしてレスポンスです。

これらのデータはまとめてパッケージ化され、コンテンツパブリッシャーにより署名され、そしてAMPに渡されます。AMPは、そのコンテンツを表示する際、署名も表示することで、内容が改変されていないことを暗号学的に証明するわけです。それにより、オリジンはオリジンとしてそのまま維持され、またAMPは、単にコンテンツの提供を行うアクセラレータに徹底することができます。

よりスマートな解決策
AMPページの開発者は、デジサートのSXG対応TLS証明書を使うことで、前述の問題も解決させることができます。デジサートは、現在SXGを提供している唯一の認証局です。これは、デジサートがこの業界で深いかかわりと理解があったからこそ可能になったものです。この方法なら、Googleのようなサードパーティから提供されるキャッシュでも、自社URLも表示されるため、それと照合することで独自に検証することが可能になります。また、内容の改ざんなどがあっても、証拠が残ります。

SXGの証明書に関する詳細はこちらを参照してください。

Posted in CertCentral, SSL